國家互聯(lián)網(wǎng)信息辦公室就《個(gè)人信息出境個(gè)人信息保護(hù)認(rèn)證辦法》(下稱《辦法》)公開征求意見,建立個(gè)人信息出境場(chǎng)景下的個(gè)人信息保護(hù)認(rèn)證制度,為后續(xù)具體認(rèn)證工作提供了法律遵循��,也為未來開展國際互認(rèn)提供了堅(jiān)實(shí)的基礎(chǔ)�����。
一���、中外多種認(rèn)證方案的并存
在個(gè)人信息出境場(chǎng)景下的個(gè)人信息保護(hù)認(rèn)證方面����,目前主要三種方案并存:歐盟方案��、美國主導(dǎo)的CBPR方案和中國方案��。歐盟2016年出臺(tái)的GDPR明確個(gè)人信息跨境認(rèn)證作為合法機(jī)制����,歐盟數(shù)據(jù)保護(hù)委員會(huì)(EDPB)在2022年和2023年先后發(fā)布兩版《關(guān)于認(rèn)證作為跨境工具的指南》(下稱《EDPB指南》),明確了相關(guān)要求���,但目前尚無專業(yè)機(jī)構(gòu)獲得跨境認(rèn)證業(yè)務(wù)資質(zhì)���。美國在2007年通過《APEC隱私框架》推動(dòng)建立“跨境隱私規(guī)則體系”(CBPR),2011年CBPR開始運(yùn)行���,目前有9個(gè)APEC成員參與����,8家認(rèn)證機(jī)構(gòu)獲得資質(zhì)開展CBPR認(rèn)證工作,獲證企業(yè)可在CBPR成員之間就個(gè)人信息進(jìn)行跨境流動(dòng)����。
我國2021年制定的《個(gè)人信息保護(hù)法》明確了個(gè)人信息保護(hù)認(rèn)證作為個(gè)人信息出境的合法機(jī)制之一�����,2022年6月全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處制定了《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》�。2022年11月18日國家市場(chǎng)監(jiān)督管理總局、國家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》��,主要明確了個(gè)人信息保護(hù)認(rèn)證的一般規(guī)則��,同時(shí)也規(guī)定向中華人民共和國境外提供個(gè)人信息須滿足《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》���,但有關(guān)個(gè)人信息出境場(chǎng)景的認(rèn)證機(jī)構(gòu)資質(zhì)要求��、認(rèn)證標(biāo)準(zhǔn)�����、認(rèn)證適用范圍�、認(rèn)證程序等規(guī)則,直到《辦法》的出臺(tái)才正式確立��。
二����、中外認(rèn)證方案的共通之處
從認(rèn)證的宗旨而言,三種方案都是為了實(shí)現(xiàn)個(gè)人信息在出境后獲得實(shí)質(zhì)等同的個(gè)人信息保護(hù)水平���。實(shí)質(zhì)等同保護(hù)指的是個(gè)人信息出境后仍然獲得與出境國或地區(qū)實(shí)質(zhì)上同等的個(gè)人信息保護(hù)水平�,但并不要求獲得完全一樣的保護(hù)水平���。例如���,我國《個(gè)人信息保護(hù)法》第38條第3款規(guī)定,個(gè)人信息保護(hù)認(rèn)證的宗旨是“保障境外接收方處理個(gè)人信息的活動(dòng)達(dá)到本法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)”�����。GDPR第44條則表述為個(gè)人信息在出境時(shí)個(gè)人信息主體根據(jù)GDPR獲得的保護(hù)水平不受影響��。CBPR則要求個(gè)人信息處理者在CBPR成員之間對(duì)《APEC隱私框架》的基本原則得到一致的遵守����。
從認(rèn)證的定性而言��,三種方案都將認(rèn)證作為一種市場(chǎng)化的合格評(píng)定機(jī)制���。個(gè)人信息跨境通常有多種合法機(jī)制,例如歐盟提供第三國適當(dāng)性評(píng)估����、集團(tuán)企業(yè)有效規(guī)則、標(biāo)準(zhǔn)合同�、認(rèn)證等機(jī)制����;我國提供數(shù)據(jù)出境安全評(píng)估、標(biāo)準(zhǔn)合同����、保護(hù)認(rèn)證等,APEC成員如日本���、新加坡等也規(guī)定了多種機(jī)制���。這些機(jī)制在本質(zhì)上都是評(píng)估境外接收方能否為所接收的個(gè)人信息提供同等保護(hù),不同之處在于第三國適當(dāng)性評(píng)估�、數(shù)據(jù)出境安全評(píng)估等機(jī)制是由監(jiān)管方直接作出評(píng)估決定,而認(rèn)證則將評(píng)估的過程和決定交給專業(yè)認(rèn)證機(jī)構(gòu),并允許其開展市場(chǎng)化認(rèn)證服務(wù)�。例如,《辦法》第6條強(qiáng)調(diào)個(gè)人信息保護(hù)認(rèn)證遵循自愿性�����、市場(chǎng)化�、社會(huì)化服務(wù)原則。GDPR第42條規(guī)定認(rèn)證的自愿性�,EDPB鼓勵(lì)認(rèn)證的市場(chǎng)化。CBPR要求認(rèn)證機(jī)構(gòu)原則上應(yīng)當(dāng)是民間第三方機(jī)構(gòu)�。
從認(rèn)證的標(biāo)準(zhǔn)而言,三種方案都要求專業(yè)認(rèn)證機(jī)構(gòu)的認(rèn)證標(biāo)準(zhǔn)應(yīng)獲得官方審批�����。鑒于認(rèn)證的宗旨是評(píng)估境外接收方能否提供同等保護(hù)���,而認(rèn)證結(jié)論能否獲得官方認(rèn)可��,關(guān)鍵在于認(rèn)證的資質(zhì)和認(rèn)證的標(biāo)準(zhǔn)都事先獲得官方的批準(zhǔn)�。例如�,GDPR第42條規(guī)定,監(jiān)管機(jī)構(gòu)的主要職責(zé)是批準(zhǔn)認(rèn)證標(biāo)準(zhǔn)���,不要求自己制定認(rèn)證標(biāo)準(zhǔn)��;實(shí)踐中《EDPB指南》列出了認(rèn)證標(biāo)準(zhǔn)必須考慮的因素�����。CBPR體系除了對(duì)認(rèn)證機(jī)構(gòu)的資質(zhì)作出要求之外�����,也對(duì)認(rèn)證標(biāo)準(zhǔn)作出明確規(guī)定�����?���!掇k法》第3條要求專業(yè)認(rèn)證機(jī)構(gòu)應(yīng)獲得國家市場(chǎng)監(jiān)督管理部門批準(zhǔn)�����,第7條明確國家網(wǎng)信部門會(huì)同有關(guān)部門組織制定認(rèn)證標(biāo)準(zhǔn)��,國家市場(chǎng)監(jiān)督管理部門會(huì)同國家網(wǎng)信部門組織制定認(rèn)證實(shí)施規(guī)則�,第8條允許專業(yè)認(rèn)證機(jī)構(gòu)制定認(rèn)證實(shí)施細(xì)則����,但應(yīng)當(dāng)報(bào)國家網(wǎng)信部門備案�。
從認(rèn)證的內(nèi)容而言,三種方案都圍繞個(gè)人信息同等保護(hù)確定認(rèn)證的重點(diǎn)事項(xiàng)�。由于個(gè)人信息保護(hù)主要圍繞個(gè)人信息處理基本原則、個(gè)人信息處理者基本義務(wù)�����、個(gè)人信息主體權(quán)利與救濟(jì)進(jìn)行構(gòu)建���,三種方案都對(duì)這些事項(xiàng)作出明確要求����。其中��,CBPR以《APEC隱私框架》的個(gè)人信息處理基本原則為核心明確具體認(rèn)證要求����。相比之下,《EDPB指南》和《辦法》除了對(duì)個(gè)人信息處理基本原則作出要求外�����,都對(duì)境外接收方所在國家或地區(qū)的個(gè)人信息保護(hù)法律環(huán)境,個(gè)人信息處理者與境外接收方雙方的組織架構(gòu)��、管理體系�����,雙方之間簽訂的協(xié)議等作出明確要求�����。
從認(rèn)證的作用而言�����,三種方案都將認(rèn)證定性為一種用于證明獲證個(gè)人信息處理者具備提供同等保護(hù)的合規(guī)證據(jù)��。因此��,三種方案除了強(qiáng)調(diào)認(rèn)證機(jī)構(gòu)的專業(yè)性�、認(rèn)證標(biāo)準(zhǔn)的符合性�����、認(rèn)證過程的規(guī)范性和透明性之外�����,還特別強(qiáng)調(diào)認(rèn)證機(jī)構(gòu)對(duì)獲證個(gè)人信息處理者的持續(xù)監(jiān)督。與《EDPB指南》和CBPR框架下《負(fù)責(zé)任機(jī)構(gòu)認(rèn)可標(biāo)準(zhǔn)》類似�����,《辦法》第3條�����、第8條�����、第12條���、第13條第1款對(duì)上述事項(xiàng)都進(jìn)行了明確�。此外����,《辦法》第13條第2款、第14條�、第16條還強(qiáng)調(diào)國家相關(guān)監(jiān)管部門在認(rèn)證機(jī)構(gòu)之外的監(jiān)督職責(zé)。
三�、中國方案的創(chuàng)新探索
首先�����,探索更廣泛的認(rèn)證適用對(duì)象����。相較于《EDPB指南》僅適用于境外接收方����,CBPR認(rèn)證僅限于從事商業(yè)活動(dòng)的個(gè)人信息處理者,《辦法》探索適用于兩類對(duì)象���。一類是《辦法》第4條規(guī)定的境內(nèi)個(gè)人信息處理者����,即非關(guān)鍵信息基礎(chǔ)設(shè)施��,且自當(dāng)年1月1日起累積向境外提供10萬人以上��、不滿100萬人個(gè)人信息(不含敏感個(gè)人信息)或者不滿1萬人敏感個(gè)人信息的個(gè)人信息處理者����;另一類是《辦法》第5條規(guī)定的境外處理中國境內(nèi)個(gè)人信息的個(gè)人信息處理者����。
其次����,對(duì)境外個(gè)人信息處理者探索更務(wù)實(shí)高效的認(rèn)證方式���。CBPR認(rèn)證機(jī)構(gòu)主要通過審核申請(qǐng)企業(yè)提交的《企業(yè)自評(píng)估文件》完成認(rèn)證�,不要求現(xiàn)場(chǎng)審核�。歐盟《EDPB指南》要求認(rèn)證機(jī)構(gòu)具備到境外開展現(xiàn)場(chǎng)審核的能力。相比之下����,對(duì)于境外個(gè)人信息處理者的申請(qǐng),《辦法》第9條第2款探索一種無須認(rèn)證機(jī)構(gòu)到境外開展現(xiàn)場(chǎng)審核但又能有效達(dá)到認(rèn)證目的的方式���,即境外個(gè)人信息處理者可以由其在境內(nèi)設(shè)立的專門機(jī)構(gòu)或者指定代表協(xié)助進(jìn)行申請(qǐng)認(rèn)證���,而且由其代為承擔(dān)相應(yīng)的法律責(zé)任,并承諾遵守專業(yè)認(rèn)證機(jī)構(gòu)的持續(xù)監(jiān)督��、遵守我國法律和接受監(jiān)督管理�����。
最后,為未來探索形式多樣的國際互認(rèn)預(yù)留充分空間����。中國方案與其他兩種方案在認(rèn)證的宗旨、屬性���、標(biāo)準(zhǔn)�、內(nèi)容和作用方面具有共通之處��,也明確鼓勵(lì)國際互認(rèn)合作�。而且,實(shí)踐中我國已經(jīng)在粵港澳大灣區(qū)開展互認(rèn)的探索��。在2024年11月21日�����,我國國家安全標(biāo)準(zhǔn)委員會(huì)秘書處已經(jīng)聯(lián)合香港私隱公署編制并發(fā)布《粵港澳大灣區(qū)(內(nèi)地�、香港)個(gè)人信息跨境處理保護(hù)要求》,除明確大灣區(qū)內(nèi)個(gè)人信息跨境流動(dòng)開展認(rèn)證互認(rèn)應(yīng)當(dāng)遵守的基本原則和要求之外����,并探索獲證企業(yè)通過認(rèn)證即可開展粵港澳大灣區(qū)(內(nèi)地��、香港)個(gè)人信息跨境流動(dòng),無須申報(bào)數(shù)據(jù)出境安全評(píng)估或訂立個(gè)人信息出境標(biāo)準(zhǔn)合同����;而且在認(rèn)證方式上探索專業(yè)認(rèn)證機(jī)構(gòu)與官方認(rèn)可相結(jié)合的方式,即內(nèi)地采用專業(yè)機(jī)構(gòu)認(rèn)證�����,香港由香港個(gè)人資料私隱專員公署設(shè)立認(rèn)可名單��。因此�,《辦法》的出臺(tái),也預(yù)示著粵港澳大灣區(qū)(內(nèi)地�����、香港)的個(gè)人信息保護(hù)認(rèn)證互認(rèn)工作可以實(shí)際開展�����,為我國將來與其他國家����、國際組織開展相關(guān)互認(rèn)在積累經(jīng)驗(yàn)的同時(shí)�,更提供一種互認(rèn)的示范����。
總而言之,從全球個(gè)人信息保護(hù)認(rèn)證制度比較視角來看����,《辦法》規(guī)定的個(gè)人信息保護(hù)認(rèn)證方案在尋求廣泛共識(shí)的基礎(chǔ)之上開展了積極的創(chuàng)新探索。
作者:張金平 中央財(cái)經(jīng)大學(xué)數(shù)字法務(wù)教研室主任
(來源:"網(wǎng)信浙江”)
(鏈接:https://mp.weixin.qq.com/s/fAFnpkX1qwfrKuyhS85xNQ)